Règlement Général sur la Protection des Données – RGPD

Purpose

L’objectif de la présente politique est d’indiquer clairement comment la Société contrôle, détient et traite les données conformément aux exigences du Règlement général sur la protection des données Act 2018.

L’entreprise veillera à ce qu’elle respecte les principes contenus dans le GDPR lorsqu’elle traite des données personnelles et sensibles :

Les données seront traitées légalement, équitablement et de manière transparente par rapport à la question des données.

  • Les données seront recueillies à des fins précises, explicites et légitimes et non traitées d’une manière incompatible avec ces fins.
  • Les données détenues et traitées seront adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux fins pour lesquelles elles sont traitées.
  • Les données seront exactes et, le cas échéant, à jour. Toutes les mesures raisonnables seront prises pour s’assurer que les données personnelles inexactes sont effacées ou rectifiées sans délai.
  • Les données seront conservées sous une forme qui permet d’identifier les personnes concernées pour une durée supérieure à ce qui est nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées et conformément aux exigences recommandées par les législateurs et les gouvernements en matière de conservation des données.
  • Les données seront traitées de manière à assurer une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre les pertes accidentelles, la destruction ou les dommages, en utilisant des mesures techniques ou organisationnelles appropriées.

Responsabilité de la confidentialité des données

La Société n’exige pas la nomination d’un agent de protection des données pour les raisons suivantes :

La Société n’est pas une « autorité publique ».

  • Les « activités principales ou primaires » de l’entreprise ne nécessitent pas une surveillance régulière et systématique des sujets de données à grande échelle.

La responsabilité de la confidentialité des données au sein de l’entreprise est détenue par le Conseil d’administration – contact info@veritekglobal.com

Le Conseil d’administration se réunira tous les trimestres pour examiner la politique actuelle, les résultats de la vérification interne et pour mettre en œuvre les changements nécessaires.

Définitions de données

Données personnelles Il s’agit de données qui peuvent « identifier » une personne. Les exemples incluent le nom, la photo, l’adresse e-mail (personnel ou d’affaires), les coordonnées bancaires, les informations médicales, etc.

Données sensibles Il s’agit d’informations relatives aux dossiers médicaux, à la religion, à l’orientation sexuelle, etc. et comprend maintenant également des données génétiques et biométriques.

Données des employés

Comment les données des employés seront utilisées:

En tant qu’employeur, la Société doit conserver et traiter des renseignements sur ses employés à des fins normales d’emploi. Les informations détenues et traitées seront utilisées uniquement à des fins de gestion et d’administration et afin de permettre à la Société de gérer l’entreprise et de gérer ses relations avec ses employés de manière efficace, légale et appropriée, pendant le processus de recrutement, lorsqu’elle est employée, au moment où l’emploi prend fin et après son départ. Il s’agit notamment d’utiliser des renseignements pour permettre à la Société de se conformer à son contrat de travail, de se conformer à toutes les exigences légales et de poursuivre ses intérêts légitimes.

En tant qu’entreprise axée sur le client et liée au service, il peut parfois être nécessaire de traiter les données des employés pour poursuivre des intérêts commerciaux légitimes, par exemple pour prévenir la fraude, à des fins administratives ou pour signaler des crimes potentiels. La Société ne traitera jamais les données des employés lorsque ces intérêts sont remplacés par vos propres intérêts.

Une grande partie de l’information que nous détenons aura été fournie par les employés, mais certaines peuvent provenir d’autres sources internes, comme les gestionnaires de ligne, ou, dans certains cas, de sources externes, comme les arbitres.

Le type d’information détenue comprend (mais ne se limite pas à) :

  • Curriculum Vitae
  • Références
  • Date de naissance
  • Renseignements sur le passeport et le droit au travail
  • Renseignements sur les contacts et l’emplacement (adresse d’accueil, numéros de téléphone et adresses électroniques – travail et personnel).
  • Contrat de travail et modification s’y rapportant
  • Correspondance avec ou à propos de l’employé
  • Renseignements nécessaires aux fins de la paie, des avantages sociaux et des dépenses
  • Coordonnées d’urgence
  • Registres des congés, de la maladie et des autres absences
  • Dossiers relatifs aux antécédents professionnels des employés, tels que les dossiers de formation, les évaluations, d’autres mesures du rendement et, le cas échéant, les dossiers disciplinaires et les dossiers de griefs.
  • Utilisation de l’ordinateur et du téléphone mobile de l’entreprise (tel que détaillé dans la politique sur les tis et l’équipement de Veritek)
  • Enregistrement des heures de travail par le biais du système de carte d’identité Paxton Access et via Astea

Bien entendu, les employés seront inévitablement mentionnés dans de nombreux documents et dossiers de l’entreprise qui sont produits par l’employé et/ou leurs collègues dans l’exercice de leurs fonctions et de l’entreprise.

Au besoin, la Société peut conserver des renseignements sur la santé des employés, qui pourraient comprendre les raisons de l’absence et les rapports et notes sur les médecins généralistes et la santé au travail. Ces renseignements seront utilisés afin de se conformer aux obligations de la Société en matière de santé, de sécurité et de santé au travail – pour examiner comment la santé des employés affecte leur capacité de faire son travail et si des ajustements à ce travail pourraient être appropriés. L’entreprise a également besoin de ces données pour administrer et gérer les indemnités légales et les indemnités de maladie de l’entreprise.

Données basées sur le consentement

Il existe deux types de données sur les employés que la Société détient ou qui s’appuieront sur l’obtention du consentement des employés :

  • Photos des employés
  • Références en matière de santé au travail et demandes de rapports médicaux des médecins généralistes

Lorsque nous traitons des données sur la base du consentement, les employés ont le droit de retirer ce consentement à tout moment.

<span style=”text-decoration: underline”>Partage de données avec des tiers

À l’exception de ce qui est mentionné ci-dessous, la Société ne divulguera des renseignements sur les employés à des tiers que si elle est légalement tenue de le faire ou si elle doit se conformer à ses obligations contractuelles envers ses employés, par exemple si elle est tenue de transmettre certaines informations à un fournisseur de paie externe, à un fournisseur de pension ou à des régimes d’assurance maladie.

La Société peut transférer des informations sur leurs employés à d’autres sociétés du groupe Veritek (à l’extérieur du Royaume-Uni) à des fins liées à l’emploi ou à la gestion de l’entreprise.

Les données personnelles des employés seront stockées pendant une période de 6 ans après la fin de l’emploi, après quoi elles seront détruites en toute sécurité.

Si la Société a l’intention de traiter les données personnelles ou sensibles de l’employé à d’autres fins que celle qu’elle a recueillie, l’employé recevra des renseignements à cette fin et toute autre information pertinente.

Données clients

Comment les données client seront utilisées:

La Société doit conserver et traiter des informations sur ses clients à des fins commerciales et de contact. Les renseignements détenus et traités seront utilisés uniquement à des fins de prestation de services et d’administration et afin de permettre à la Société de gérer l’entreprise et de gérer ses relations avec ses clients de façon efficace, légale et appropriée.

Le type d’information détenue comprend (mais ne se limite pas à) :

  • Nom du client et nom de l’entreprise
  • Coordonnées (numéros de téléphone, adresse et adresses e-mail).
  • Dossiers et notes des réunions/discussions avec les clients.

Partage de données avec des tiers

La Société peut être tenue de partager les données des clients (limitées aux coordonnées et aux détails de localisation) avec des processeurs tiers (tels que les entreprises de messagerie).

La Société ne partagera pas les données des clients avec un processeur tiers à d’autres fins que pour des intérêts commerciaux légitimes et à condition que celles-ci ne soient pas remplacées par les intérêts du Client.

Les droits de l’individu

En vertu du Règlement général sur la protection des données (GDPR) et de la Loi de 2018 sur la protection des données (DPA), toutes les personnes ont un certain nombre de droits en ce qui concerne leurs données personnelles. Toutes les personnes ont le droit de demander à la Société l’accès à la société et la rectification ou l’effacement des données à caractère personnel, le droit de restreindre le traitement, de s’opposer au traitement ainsi que dans certaines circonstances le droit à la portabilité des données.

Demandes d’accès des personnes concernées

Les particuliers ont accès à leurs données personnelles. Toutefois, si les demandes sont jugées manifestement non fondées, excessives ou répétitives, la Société envisagera de facturer à la personne des frais raisonnables.

Une demande d’accès aux sujets de données doit être adressée au Service des ressources humaines. La Société répondra dans un délai d’un mois à la suite de la réception de ce DSAR. Si une demande est complexe ou nombreuse, la Société se réserve le droit de prolonger cette période à deux mois supplémentaires.

Les particuliers ont le droit de déposer une plainte auprès du Bureau des commissaires à l’information s’ils estiment que la Société n’a pas respecté les exigences du GDPR ou de la Loi de 2018 sur la protection des données en ce qui concerne leurs données.

Veritek Global Ltd est le contrôleur et le processeur des données aux fins de la Data Protection Act 2018 et GDPR.

Le droit à l’effacement

Le droit à l’effacement ne signifie pas donner à l’individu un « droit à l’oubli ». Les personnes peuvent demander que les données à caractère personnel soient effacées ou empêcher le traitement dans les circonstances suivantes :

  • Lorsque les données ne sont plus nécessaires en ce qui concerne l’objet pour lequel elles ont été recueillies ou traitées à l’origine.
  • Lorsque la personne retire son consentement (ne s’applique qu’aux données lorsque le consentement est requis pour le traitement).
  • Lorsqu’il n’y a pas d’intérêt légitime à poursuivre le traitement.
  • Si les données étaient traitées illégalement.
  • Se conformer à une obligation légale.

Il y a des circonstances où la Société peut refuser de se conformer à une demande d’effacement; cela dépendra du type de données et des besoins de traitement.

Sécurité des données

La Société prend la sécurité de ses données très au sérieux et ISO 27001 accrédité en termes de sécurité de l’information. Tout le traitement et le stockage des données sont soumis à des précautions de sécurité appropriées relatives au type et à l’utilisation de ces données.

Veritek a obtenu avec succès l’accréditation Cyber Essentials Plus qui démontre que l’organisation est très soucieuse de la sécurité. La Société apprécie l’importance de prendre toutes les mesures de sécurité nécessaires pour garantir la sécurité des données des clients. Le respect d’un niveau de sécurité de l’information reconnu par le gouvernement devrait donner un niveau d’assurance supplémentaire à tous les clients.

Violations des données

L’enquête et la déclaration des atteintes à la protection des données relèvent du Conseil d’administration et seront communiquées au Bureau des commissaires à l’information conformément aux exigences de déclaration du GDPR et de la Loi de 2018 sur la protection des données.